Scaffold do Azure Enterprise: Governação de subscrições prescritivaAzure enterprise scaffold: Prescriptive subscription governance

Nota

O Azure Enterprise scaffolding foi integrado à estrutura de adoção Microsoft Cloud.Azure enterprise scaffolding has been integrated into the Microsoft Cloud Adoption Framework. O conteúdo deste artigo agora está representado na seção pronta da nova estrutura.The content in this article is now represented in the Ready section of the new framework. Este artigo será preterido no início de 2020.This article will be deprecated in early 2020. Para começar a usar o novo processo, consulte a visão geral pronta, criando sua primeira zonade aterrissagem e/ou Considerações sobre a zonade aterrissagem.To begin using the new process, see the Ready overview, creating your first landing zone, and/or landing zone considerations.

As empresas estão adotando cada vez mais a nuvem pública para sua agilidade e flexibilidade.Enterprises are increasingly adopting the public cloud for its agility and flexibility. Eles contam com os pontos fortes da nuvem para gerar receita e otimizar o uso de recursos para os negócios.They rely on the cloud's strengths to generate revenue and optimize resource usage for the business. O Microsoft Azure fornece uma infinidade de serviços e recursos que as empresas montam como blocos de construção para lidar com uma ampla gama de cargas de trabalho e aplicativos.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Decidir usar Microsoft Azure é apenas a primeira etapa para alcançar o benefício da nuvem.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. A segunda etapa é entender como a empresa pode efetivamente usar o Azure e identificar os recursos de linha de base que precisam estar em vigor para abordar perguntas como:The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • "Estou preocupado com a soberania dos dados; Como garantir que meus dados e sistemas atendam aos nossos requisitos regulatórios? ""I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "Como fazer saber qual é o suporte de cada recurso para que eu possa fazer sua conta e cobrar com precisão?""How do I know what each resource is supporting so I can account for it and bill it back accurately?"
  • "Quero ter certeza de que tudo que implantamos ou fazemos na nuvem pública começa com a mentalidade da segurança primeiro, como posso ajudar a facilitar isso?""I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

O cliente potencial de uma assinatura vazia sem guardrails é assustador.The prospect of an empty subscription with no guardrails is daunting. Esse espaço em branco pode dificultar a mudança para o Azure.This blank space can hamper your move to Azure.

Este artigo fornece um ponto de partida para que os profissionais técnicos atendam à necessidade de governança e equilibrem a ti com a necessidade de agilidade.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. Ele apresenta o conceito de uma Scaffold empresarial que orienta as organizações na implementação e gerenciamento de seus ambientes do Azure de maneira segura.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. Ele fornece a estrutura para desenvolver controles eficazes e eficientes.It provides the framework to develop effective and efficient controls.

Necessidade de governançaNeed for governance

Ao mudar para o Azure, você deve abordar o tópico de governança antecipadamente para garantir o uso bem-sucedido da nuvem dentro da empresa.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. Infelizmente, o tempo e a burocracia de criação de um sistema de governança abrangente significam que alguns grupos de negócios vão diretamente para os provedores sem envolver a ti empresarial.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. Essa abordagem pode deixar a empresa aberta para ser comprometida se os recursos não forem gerenciados corretamente.This approach can leave the enterprise open to compromise if the resources are not properly managed. As características da agilidade de nuvem—pública, a flexibilidade e os preços—baseados em consumo são importantes para os grupos de negócios que precisam atender rapidamente às demandas de clientes (internos e externos).The characteristics of the public cloud—agility, flexibility, and consumption-based pricing—are important to business groups that need to quickly meet the demands of customers (both internal and external). Mas a ti empresarial precisa garantir que os dados e os sistemas sejam protegidos efetivamente.But enterprise IT needs to ensure that data and systems are effectively protected.

Ao criar uma compilação, scaffolding é usado para criar a base de uma estrutura.When creating a building, scaffolding is used to create the basis of a structure. O scaffold guia a estrutura de tópicos geral e fornece pontos de ancoragem para que sistemas mais permanentes sejam montados.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. Um Scaffold empresarial é o mesmo: um conjunto de controles flexíveis e recursos do Azure que fornecem a estrutura para o ambiente e âncoras para serviços criados na nuvem pública.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. Ele fornece aos construtores (grupos de negócios) uma base para criar e anexar novos serviços, mantendo a velocidade de entrega em mente.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

O scaffold é baseado em práticas que coletamos de muitos compromissos com clientes de vários tamanhos.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. Esses clientes variam de pequenas organizações que desenvolvem soluções na nuvem para grandes empresas multinacionais e fornecedores de software independentes que estão migrando cargas de trabalho e desenvolvendo soluções nativas de nuvem.Those clients range from small organizations developing solutions in the cloud to large multinational enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. O Enterprise Scaffold é "criado especificamente" para ser flexível para dar suporte a cargas de trabalho de ti tradicionais e a cargas Agile, como os desenvolvedores que criam aplicativos SaaS (software como serviço) baseados em recursos da plataforma Azure.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads, such as developers creating software as a service (SaaS) applications based on Azure platform capabilities.

A Scaffold empresarial deve ser a base de cada nova assinatura no Azure.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. Ele permite que os administradores garantam que as cargas de trabalho atendam aos requisitos mínimos de governança de uma organização sem impedir que grupos de negócios e desenvolvedores atendam rapidamente às suas próprias metas.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. Nossa experiência mostra que isso acelera bastante, em vez de impedir o crescimento da nuvem pública.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

Nota

A Microsoft lançou-se na versão prévia de uma nova funcionalidade chamada plantas do Azure que permitirá empacotar, gerenciar e implantar imagens, modelos, políticas e scripts comuns em assinaturas e grupos de gerenciamento.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. Esse recurso é a ponte entre a finalidade do Scaffold como modelo de referência e a implantação desse modelo em sua organização.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

A imagem a seguir mostra os componentes do Scaffold.The following image shows the components of the scaffold. A base depende de um plano sólido para a hierarquia de gerenciamento e as assinaturas.The foundation relies on a solid plan for the management hierarchy and subscriptions. Os pilares consistem em políticas do Resource Manager e em padrões de nomenclatura fortes.The pillars consist of Resource Manager policies and strong naming standards. O restante do Scaffold são recursos e recursos principais do Azure que habilitam e conectam um ambiente seguro e gerenciável.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

Scaffold empresarial

Definir sua hierarquiaDefine your hierarchy

A base do Scaffold é a hierarquia e a relação do registro do Azure Enterprise por meio de assinaturas e grupos de recursos.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. O registro Enterprise define a forma e o uso dos serviços do Azure em sua empresa a partir de um ponto de vista contratual.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. Dentro do Enterprise Agreement, você pode subdividir ainda mais o ambiente em departamentos, contas, assinaturas e grupos de recursos para corresponder à estrutura da sua organização.Within the Enterprise Agreement, you can further subdivide the environment into departments, accounts, subscriptions, and resource groups to match your organization's structure.

hierarquia

Uma assinatura do Azure é a unidade básica em que todos os recursos estão contidos.An Azure subscription is the basic unit where all resources are contained. Ele também define vários limites no Azure, como o número de núcleos, redes virtuais e outros recursos.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Os grupos de recursos do Azure são usados para refinar ainda mais o modelo de assinatura e habilitar um agrupamento mais natural de recursos.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

Toda empresa é diferente e a hierarquia na imagem acima permite uma flexibilidade significativa na forma como o Azure é organizado em sua empresa.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. Modelar sua hierarquia para refletir a cobrança, o gerenciamento de recursos e as necessidades de acesso aos recursos de sua empresa é a primeira e mais importante decisão que você faz ao iniciar na nuvem pública.Modeling your hierarchy to reflect your company's billing, resource management, and resource access needs is the first and most important decision you make when starting in the public cloud.

Departamentos e contasDepartments and Accounts

Os três padrões comuns para registros do Azure são:The three common patterns for Azure Enrollments are:

  • O padrão funcional :The functional pattern:

    O padrão funcional

  • O padrão de unidade de negócios :The business unit pattern:

    O padrão de unidade de negócios

  • O padrão geográfico :The geographic pattern:

    O padrão geográfico

Embora cada um desses padrões tenha seu lugar, o padrão de unidade de negócios está sendo adotado cada vez mais por sua flexibilidade na modelagem do modelo de custo de uma organização, além de refletir o alcance do controle.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. O Microsoft Core Engineering and Operations Group criou um subconjunto efetivo do padrão de unidade de negócios modelado em Federal, estaduale local.Microsoft Core Engineering and Operations group has created an effective subset of the business unit pattern modeled on Federal, State, and Local. Para obter mais informações, consulte organizando assinaturas e grupos de recursos dentro da empresa.For more information, see Organizing subscriptions and resource groups within the Enterprise.

Grupos de gestão do AzureAzure management groups

A Microsoft agora fornece outra maneira de modelar sua hierarquia: Grupos de gerenciamento do Azure.Microsoft now provides another way to model your hierarchy: Azure management groups. Os grupos de gerenciamento são muito mais flexíveis do que os departamentos e as contas, e podem ser aninhados até seis níveis.Management groups are much more flexible than departments and accounts, and they can be nested up to six levels. Os grupos de gerenciamento permitem criar uma hierarquia separada da sua hierarquia de cobrança, exclusivamente para o gerenciamento eficiente de recursos.Management groups let you create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. Os grupos de gerenciamento podem espelhar sua hierarquia de cobrança e, muitas vezes, as empresas iniciam dessa maneira.Management groups can mirror your billing hierarchy and often enterprises start that way. No entanto, o poder dos grupos de gerenciamento é quando você os utiliza para modelar sua organização, agrupando as assinaturas relacionadas (independentemente de sua localização na hierarquia de cobrança) e atribuindo funções, políticas e iniciativas comuns.However, the power of management groups is when you use them to model your organization, grouping together related subscriptions (regardless of their location in the billing hierarchy) and assigning common roles, policies, and initiatives. Alguns exemplos incluem:Some examples include:

  • Produção versus não produto.Production vs. nonproduction. Algumas empresas criam grupos de gerenciamento para identificar suas assinaturas de produção e não produções.Some enterprises create management groups to identify their production and nonproduction subscriptions. Os grupos de gestão permitem a estes clientes gerir funções e políticas mais facilmente.Management groups allow these customers to more easily manage roles and policies. Por exemplo, a assinatura de não produção pode permitir o acesso de "colaborador" de desenvolvedores, mas em produção, eles têm apenas acesso "leitor".For example, nonproduction subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • Serviços internos vs. serviços externos.Internal services vs. external services. As empresas geralmente têm requisitos, políticas e funções diferentes para serviços internos versus serviços voltados para o cliente.Enterprises often have different requirements, policies, and roles for internal services versus customer-facing services.

Os grupos de gerenciamento bem projetados são, juntamente com Azure Policy e iniciativas, o backbone da governança eficiente do Azure.Well-designed management groups are, along with Azure Policy and Initiatives, the backbone of efficient governance of Azure.

SubscriçõesSubscriptions

Ao decidir sobre seus departamentos e contas (ou grupos de gerenciamento), você está vendo principalmente como está dividindo seu ambiente do Azure para corresponder à sua organização.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. No entanto, as assinaturas são onde acontecem o trabalho real e suas decisões aqui afetam a segurança, a escalabilidade e a cobrança.However, subscriptions are where the real work happens, and your decisions here affect security, scalability, and billing. Muitas organizações analisam os seguintes padrões como seus guias:Many organizations look at the following patterns as their guides:

  • Aplicativo/serviço: As assinaturas representam um aplicativo ou um serviço (portfólio de aplicativos)Application/service: Subscriptions represent an application or a service (portfolio of applications)
  • Lifecycle As assinaturas representam um ciclo de vida de um serviço, como produção ou desenvolvimento.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • Departamento: As subscrições representam os departamentos na organização.Department: Subscriptions represent departments in the organization.

Os dois primeiros padrões são os mais comumente usados, e ambos são altamente recomendados.The first two patterns are the most commonly used, and both are highly recommended. A abordagem do ciclo de vida é apropriada para a maioria das organizações.The Lifecycle approach is appropriate for most organizations. Nesse caso, a recomendação geral é usar duas assinaturas base.In this case, the general recommendation is to use two base subscriptions. "Produção" e "não produções" e, em seguida, use grupos de recursos para dividir ainda mais os ambientes."Production" and "Nonproduction," and then use resource groups to break out the environments further.

Grupos de recursosResource groups

Azure Resource Manager permite colocar recursos em grupos significativos para gerenciamento, cobrança ou afinidade natural.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. Os grupos de recursos são contêineres de recursos que têm um ciclo de vida comum ou compartilham um atributo como "todos os SQL Servers" ou "aplicativo A".Resource groups are containers of resources that have a common lifecycle or share an attribute such as "all SQL servers" or "Application A".

Os grupos de recursos não podem ser aninhados e os recursos apenas podem pertencer a um grupo de recursos.Resource groups can't be nested, and resources can only belong to one resource group. Algumas ações podem ser realizadas em todos os recursos num grupo de recursos.Some actions can act on all resources in a resource group. Por exemplo, a exclusão de um grupo de recursos remove todos os recursos dentro do grupo de recursos.For example, deleting a resource group removes all resources within the resource group. Assim como as assinaturas, há padrões comuns ao criar grupos de recursos e variam de cargas de trabalho de "ti tradicional" a cargas de trabalho de "ti Agile":Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • As cargas de trabalho de "ti tradicional" geralmente são agrupadas por itens dentro do mesmo ciclo de vida, como um aplicativo."Traditional IT" workloads are most commonly grouped by items within the same lifecycle, such as an application. O agrupamento por aplicação permite a gestão de aplicações individuais.Grouping by application allows for individual application management.
  • As cargas de trabalho "ti Agile" tendem a se concentrar em aplicativos de nuvem voltados para o cliente."Agile IT" workloads tend to focus on external customer-facing cloud applications. Os grupos de recursos geralmente refletem as camadas de implantação (como uma camada da Web ou camada de aplicativo) e gerenciamento.The resource groups often reflect the layers of deployment (such as a web tier or app tier) and management.

Nota

Entender sua carga de trabalho ajuda a desenvolver uma estratégia de grupo de recursos.Understanding your workload helps you develop a resource group strategy. Esses padrões podem ser combinados e combinados.These patterns can be mixed and matched. Por exemplo, um grupo de recursos de serviços compartilhados na mesma assinatura que os grupos de recursos "Agile".For example, a shared services resource group in the same subscription as "Agile" resource groups.

Padrões de nomenclaturaNaming standards

O primeiro pilar do Scaffold é um padrão de nomenclatura consistente.The first pillar of the scaffold is a consistent naming standard. Os padrões de nomenclatura bem projetados permitem que você identifique recursos no portal, em uma fatura e em scripts.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. Provavelmente você já tem padrões de nomenclatura existentes para a infraestrutura local.You likely already have existing naming standards for on-premises infrastructure. Ao adicionar o Azure ao seu ambiente, deve alargar esses padrões de nomenclatura aos recursos do Azure.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

Dica

Para convenções de nomenclatura:For naming conventions:

  • Reveja e adote sempre que possível a documentação de orientação Padrões e Práticas.Review and adopt where possible the Patterns and Practices guidance. Este guia ajuda você a decidir sobre um padrão de nomenclatura significativo e fornece exemplos extensivos.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • Usar políticas do Resource Manager para ajudar a reforçar os padrões de nomenclatura.Using Resource Manager Policies to help enforce naming standards.

Lembre-se de que é difícil alterar nomes posteriormente, portanto, alguns minutos agora vão poupar problemas mais tarde.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

Concentre seus padrões de nomenclatura nesses recursos que são mais comumente usados e pesquisados.Concentrate your naming standards on those resources that are more commonly used and searched for. Por exemplo, todos os grupos de recursos devem seguir um padrão forte para maior clareza.For example, all resource groups should follow a strong standard for clarity.

Etiquetas de RecursosResource Tags

As marcas de recurso estão estreitamente alinhadas com os padrões de nomenclatura.Resource tags are tightly aligned with naming standards. À medida que os recursos são adicionados às assinaturas, se torna cada vez mais importante categorizá-los logicamente para fins de cobrança, gerenciamento e operação.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. Para obter mais informações, consulte usar marcas para organizar os recursos do Azure.For more information, see Use tags to organize your Azure resources.

Importante

As marcas podem conter informações pessoais e podem estar sob as regulamentações de GDPR.Tags can contain personal information and may fall under the regulations of GDPR. Planeje o gerenciamento de suas marcas com cuidado.Plan for management of your tags carefully. Se você estiver procurando informações gerais sobre GDPR, consulte a seção GDPR do portal de confiança do serviço.If you're looking for general information about GDPR, see the GDPR section of the Service Trust Portal.

As marcas são usadas de muitas maneiras além da cobrança e do gerenciamento.Tags are used in many ways beyond billing and management. Eles são frequentemente usados como parte da automação (consulte a seção mais adiante).They are often used as part of automation (see later section). Isso pode causar conflitos se não for considerado antecipado.This can cause conflicts if not considered up front. A prática recomendada é identificar todas as marcas comuns no nível corporativo (como ApplicationOwner e CostCenter) e aplicá-las de forma consistente ao implantar recursos usando a automação.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner and CostCenter) and apply them consistently when deploying resources using automation.

Azure Policy e iniciativasAzure Policy and Initiatives

O segundo pilar do Scaffold envolve o uso de Azure Policy e iniciativas para gerenciar riscos ao impor regras (com efeitos) sobre os recursos e serviços em suas assinaturas.The second pillar of the scaffold involves using Azure Policy and initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. As iniciativas do Azure são coleções de políticas que são projetadas para atingir uma única meta.Azure Initiatives are collections of policies that are designed to achieve a single goal. As políticas e iniciativas são então atribuídas a um escopo de recurso para iniciar a imposição dessas políticas.Policies and initiatives are then assigned to a resource scope to begin enforcement of those policies.

As políticas e iniciativas são ainda mais poderosas quando usadas com os grupos de gerenciamento mencionados anteriormente.Policies and initiatives are even more powerful when used with the management groups mentioned earlier. Os grupos de gerenciamento permitem a atribuição de uma iniciativa ou política a um conjunto inteiro de assinaturas.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Usos comuns de políticas do Resource ManagerCommon uses of Resource Manager policies

Políticas e iniciativas são uma ferramenta poderosa no kit de ferramentas do Azure.Policies and initiatives are a powerful tool in the Azure toolkit. As políticas permitem que as empresas forneçam controles para cargas de trabalho de "ti tradicional" que habilitam a estabilidade necessária para aplicativos de linha de negócios e também permitem cargas de—trabalho "Agile", por exemplo, desenvolvimento de aplicativos para clientes sem expor a empresa a um risco adicional.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for line-of-business applications while also allowing "Agile" workloads—for example, developing customer applications without exposing the enterprise to additional risk. Os padrões mais comuns para políticas são:The most common patterns for policies are:

  • Conformidade geográfica e soberania de dados.Geo compliance and data sovereignty. O Azure tem uma lista cada vez maior de regiões em todo o mundo.Azure has an ever-growing list of regions across the world. Muitas vezes, as empresas precisam garantir que os recursos em um escopo específico permaneçam em uma região geográfica para atender aos requisitos regulatórios.Enterprises often need to ensure that resources in a specific scope remain in a geographic region to address regulatory requirements.
  • Evite expor servidores publicamente.Avoid exposing servers publicly. Azure Policy pode proibir a implantação de determinados tipos de recursos.Azure Policy can prohibit the deployment of certain resource types. É comum criar uma política para negar a criação de um IP público dentro de um escopo específico, evitando a exposição involuntária de um servidor à Internet.It's common to create a policy to deny the creation of a public IP within a specific scope, avoiding unintended exposure of a server to the internet.
  • Gerenciamento de custos e metadados.Cost management and metadata. As marcas de recurso geralmente são usadas para adicionar dados de cobrança importantes a recursos e grupos de recursos, como CostCenter, proprietário e muito mais.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner, and more. Essas marcas são inestimáveis para a cobrança precisa e o gerenciamento de recursos.These tags are invaluable for accurate billing and management of resources. As políticas podem impor a aplicação de marcas de recursos a todos os recursos implantados, facilitando o gerenciamento.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

Usos comuns de iniciativasCommon uses of initiatives

As iniciativas fornecem às empresas a capacidade de agrupar políticas lógicas e rastreá-las como uma única entidade.Initiatives provide enterprises the ability to group logical policies and track them as a single entity. As iniciativas ajudam a empresa a atender às necessidades das cargas de trabalho Agile e tradicional.Initiatives help the enterprise address the needs of both agile and traditional workloads. Os usos comuns das iniciativas incluem:Common uses of initiatives include:

  • Habilite o monitoramento na central de segurança do Azure.Enable monitoring in Azure Security Center. Essa é uma iniciativa padrão no Azure Policy e um excelente exemplo de quais iniciativas são.This is a default initiative in the Azure Policy and an excellent example of what initiatives are. Ele permite políticas que identificam bancos de dados SQL não criptografados, vulnerabilidades de VM (máquina virtual) e necessidades mais comuns relacionadas à segurança.It enables policies that identify unencrypted SQL databases, virtual machine (VM) vulnerabilities, and more common security-related needs.
  • Iniciativa específica de regulamentação.Regulatory-specific initiative. As empresas geralmente agrupam políticas comuns a um requisito normativo (como a HIPAA) para que os controles e conformidade para esses controles sejam acompanhados com eficiência.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • Tipos de recursos e SKUs.Resource types and SKUs. A criação de uma iniciativa que restringe os tipos de recursos que podem ser implantados, bem como as SKUs que podem ser implantadas, pode ajudar a controlar os custos e garantir que sua organização esteja apenas implantando recursos para os quais sua equipe tem o conjunto de habilidades e os procedimentos para dar suporte.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team has the skill set and procedures to support.

Dica

Recomendamos que você sempre use definições de iniciativa em vez de definições de política.We recommend you always use initiative definitions instead of policy definitions. Depois de atribuir uma iniciativa a um escopo, como assinatura ou grupo de gerenciamento, você pode adicionar facilmente outra política à iniciativa sem precisar alterar nenhuma atribuição.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. Isso torna a compreensão do que é aplicado e o controle da conformidade muito mais fácil.This makes understanding what is applied and tracking compliance far easier.

Atribuições de política e iniciativaPolicy and Initiative assignments

Depois de criar políticas e agrupá-las em iniciativas lógicas, você deve atribuir a política a um escopo, seja um grupo de gerenciamento, uma assinatura ou até mesmo um grupo de recursos.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. As atribuições permitem que você também exclua um subescopo da atribuição de uma política.Assignments allow you to also exclude a subscope from the assignment of a policy. Por exemplo, se você negar a criação de IPs públicos em uma assinatura, poderá criar uma atribuição com uma exclusão para um grupo de recursos conectado à DMZ protegida.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

Você encontrará vários exemplos de política que mostram como a política e as iniciativas podem ser aplicadas a vários recursos no Azure neste repositório GitHub .You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

Gestão de acesso e identidadesIdentity and access management

Uma das primeiras e mais importantes perguntas que você se pergunta ao começar com a nuvem pública é "quem deve ter acesso aos recursos?"One of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" e "como faço para controlar esse acesso?"and "how do I control this access?" Controlar o acesso ao portal do Azure e aos recursos no portal é essencial para a segurança de longo prazo de seus ativos na nuvem.Controlling access to the Azure portal and resources in the portal is critical to the long-term safety of your assets in the cloud.

Para proteger o acesso aos seus recursos, primeiro você configurará seu provedor de identidade e, em seguida, configurará funções e acesso.To secure access to your resources you will first configure your identity provider and then configure Roles and access. O Azure Active Directory (Azure AD), conectado à sua Active Directory local, é a base da identidade do Azure.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. Dito isso, o Azure AD não é o mesmo local Active Directory, e é importante entender o que é um locatário do Azure AD e como ele se relaciona com o registro do Azure.That said, Azure AD is not the same as on-premises Active Directory, and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Examine as informações disponíveis para obter uma base sólida sobre o Azure AD e o Active Directory local.Review the available information to gain a solid foundation on Azure AD and on-premises Active Directory. Para conectar e sincronizar seu Active Directory com o Azure AD, instale e configure a ferramenta de Azure ad Connect local.To connect and synchronize your Active Directory to Azure AD, install and configure the Azure AD Connect tool on-premises.

Arch. png

Quando o Azure foi lançado inicialmente, os controles de acesso a uma assinatura eram básicos: Administrador ou coadministrador.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. Acesso a uma assinatura no modelo clássico acesso implícito a todos os recursos no Portal.Access to a subscription in the Classic model implied access to all the resources in the portal. Essa falta de controle refinado levou à proliferação de assinaturas para fornecer um nível de controle de acesso razoável para um registro do Azure.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. Essa proliferação de assinaturas não é mais necessária.This proliferation of subscriptions is no longer needed. Com o RBAC (controle de acesso baseado em função), você pode atribuir usuários a funções padrão que fornecem acesso comum, como "proprietário", "colaborador" ou "leitor", ou até mesmo criar suas próprias funções.With role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles.

Ao implementar o acesso baseado em função, as seguintes opções são altamente recomendadas:When implementing role-based access, the following are highly recommended:

  • Controle o administrador/coadministrador de uma assinatura, pois essas funções têm permissões extensivas.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Você só precisa adicionar o proprietário da assinatura como um coadministrador se precisar gerenciar implantações clássicas do Azure.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.
  • Use grupos de gerenciamento para atribuir funções em várias assinaturas e reduzir a carga de gerenciá-las no nível de assinatura.Use management groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.
  • Adicione usuários do Azure a um grupo (por exemplo, proprietários de aplicativo X) em Active Directory.Add Azure users to a group (for example, Application X Owners) in Active Directory. Use o grupo sincronizado para fornecer aos membros do grupo os direitos apropriados para gerenciar o grupo de recursos que contém o aplicativo.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.
  • Siga o princípio de conceder o privilégio mínimo necessário para fazer o trabalho esperado.Follow the principle of granting the least privilege required to do the expected work.

Importante

Considere usar Azure ad Privileged Identity Management, autenticação multifator do Azure e recursos de acesso condicional para fornecer melhor segurança e mais visibilidade para ações administrativas em todo o Azure assinaturas.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. Esses recursos são provenientes de uma licença de Azure AD Premium válida (dependendo do recurso) para proteger ainda mais e gerenciar sua identidade.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. O PIM do Azure AD permite o acesso administrativo "Just-in-time" com o fluxo de trabalho de aprovação, bem como uma auditoria completa de ativações e atividades do administrador.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. A autenticação multifator do Azure é outro recurso crítico e permite a verificação em duas etapas para fazer logon no portal do Azure.Azure Multi-Factor Authentication is another critical capability and enables two-step verification for login to the Azure portal. Quando combinado com controles de acesso condicional, você pode gerenciar efetivamente o risco de comprometimento.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

Planejar e preparar para seus controles de identidade e de acesso e seguir a prática recomendada de gerenciamento de identidade do Azure (link) é uma das melhores estratégias de mitigação de risco que você pode empregar e deve ser considerado obrigatório para cada implantação.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

SegurançaSecurity

Um dos maiores bloqueadores para a adoção de nuvem tradicionalmente tem sido preocupado com a segurança.One of the biggest blockers to cloud adoption traditionally has been concerns over security. Os gerentes de risco de ti e os departamentos de segurança precisam garantir que os recursos no Azure estejam protegidos e seguros por padrão.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. O Azure fornece recursos que você pode usar para proteger recursos ao detectar e eliminar ameaças contra esses recursos.Azure provides capabilities you can use to protect resources while detecting and eliminating threats against those resources.

Centro de Segurança do AzureAzure Security Center

A central de segurança do Azure fornece uma exibição unificada do status de segurança dos recursos em seu ambiente, além da proteção avançada contra ameaças.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. A central de segurança do Azure é uma plataforma aberta que permite que os parceiros da Microsoft criem softwares que se conectam e aprimoram seus recursos.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. Os recursos de linha de base da central de segurança do Azure (camada gratuita) fornecem avaliação e recomendações que aprimorarão sua postura de segurança.The baseline capabilities of Azure Security Center (free tier) provide assessment and recommendations that will enhance your security posture. Suas camadas pagas permitem recursos adicionais e valiosos, como acesso de administrador just-in-time e controles de aplicativo adaptáveis (lista de permissões).Its paid tiers enable additional and valuable capabilities such as just-in-time admin access and adaptive application controls (whitelisting).

Dica

A central de segurança do Azure é uma ferramenta poderosa que é aprimorada regularmente com novos recursos que você pode usar para detectar ameaças e proteger sua empresa.Azure Security Center is a powerful tool that is regularly improved with new capabilities you can use to detect threats and protect your enterprise. É altamente recomendável habilitar sempre a central de segurança do Azure.It is highly recommended to always enable Azure Security Center.

Bloqueios de recursos do AzureAzure resource locks

À medida que sua organização adiciona serviços principais às assinaturas, ela se torna cada vez mais importante para evitar a interrupção dos negócios.As your organization adds core services to subscriptions, it becomes increasingly important to avoid business disruption. Um tipo de interrupção que muitas vezes vemos são consequências indesejadas de scripts e ferramentas que trabalham em uma assinatura do Azure excluindo os recursos erroneamente.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. Os bloqueios de recursos permitem restringir operações em recursos de alto valor, onde modificá-las ou excluí-las teria um impacto significativo.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. Os bloqueios são aplicados a uma assinatura, grupo de recursos ou até mesmo recursos individuais.Locks are applied to a subscription, resource group, or even individual resources. O caso de uso comum é aplicar bloqueios a recursos fundamentais, como redes virtuais, gateways, grupos de segurança de rede e contas de armazenamento de chaves.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups, and key storage accounts.

Kit de ferramentas do Secure DevOpsSecure DevOps Toolkit

O Secure DevOps Kit for Azure (AzSK) é uma coleção de scripts, ferramentas, extensões e recursos de automação originalmente criados pela própria equipe de ti da Microsoft e lançado como software livre por meio do GitHub.The Secure DevOps Kit for Azure (AzSK) is a collection of scripts, tools, extensions, and automation capabilities originally created by Microsoft's own IT team and released as open source via GitHub. O AzSK atende às necessidades de segurança de recursos e assinatura do Azure de ponta a ponta para equipes que usam automação abrangente e integram a segurança em fluxos de trabalho nativos do DevOps, ajudando a atingir DevOps seguras com estas seis áreas de enfoque:AzSK caters to the end-to-end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native DevOps workflows helping accomplish secure DevOps with these six focus areas:

  • Proteger a assinaturaSecure the subscription
  • Habilitar o desenvolvimento seguroEnable secure development
  • Integrar a segurança ao CI/CDIntegrate security into CI/CD
  • Garantia contínuaContinuous assurance
  • Alertas e monitoramentoAlerting and monitoring
  • Governança de riscos na nuvemCloud risk governance

Kit de ferramentas do Azure DevOps

O AzSK é um rico conjunto de ferramentas, scripts e informações que são uma parte importante de um plano de governança do Azure completo e incorporando isso em seu Scaffold é crucial para dar suporte às metas de gerenciamento de riscos de suas organizações.The AzSK is a rich set of tools, scripts, and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals.

Gerenciamento de Atualizações do AzureAzure Update Management

Uma das principais tarefas que você pode fazer para manter seu ambiente seguro é garantir que os servidores sejam corrigidos com as atualizações mais recentes.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. Embora haja muitas ferramentas para fazer isso, o Azure fornece a solução de Gerenciamento de atualizações do Azure para resolver a identificação e a distribuição de patches críticos do sistema operacional.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. Ele usa a automação do Azure, abordada na seção automatizada posteriormente neste guia.It uses Azure Automation, covered in the Automate section later in this guide.

Monitorar e alertasMonitor and alerts

Coletar e analisar a telemetria que fornece a linha de visão sobre as atividades, as métricas de desempenho, a integridade e a disponibilidade dos serviços que você está usando em suas assinaturas do Azure é essencial para gerenciar proativamente seus aplicativos e infraestrutura e é uma necessidade fundamental de cada assinatura do Azure.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health, and availability of the services you are using across your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. Cada serviço do Azure emite a telemetria na forma de logs de atividades, métricas e logs de diagnóstico.Every Azure service emits telemetry in the form of activity logs, metrics, and diagnostic logs.

  • Os logs de atividades descrevem todas as operações executadas nos recursos em suas assinaturas.Activity logs describe all operations performed on resources in your subscriptions.
  • Métricas são informações numéricas emitidas por um recurso que descrevem o desempenho e a integridade de um recurso.Metrics are numerical information emitted by a resource that describe the performance and health of a resource.
  • Os logs de diagnóstico são emitidos por um serviço do Azure e fornecem dados avançados e frequentes sobre a operação do serviço.Diagnostic logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

Essas informações podem ser exibidas e acionadas em vários níveis e estão continuamente sendo aprimoradas.This information can be viewed and acted on at multiple levels and are continually being improved. O Azure fornece recursos de monitoramento compartilhados, básicose profundos dos recursos do Azure por meio dos serviços descritos no diagrama a seguir.Azure provides shared, core, and deep monitoring capabilities of Azure resources through the services outlined in the diagram below.

monitorização

Capacidades partilhadasShared capabilities

  • Alertas Você pode coletar todos os logs, eventos e métricas dos recursos do Azure, mas sem a capacidade de ser notificado sobre condições críticas e agir, esses dados só são úteis para fins de histórico e análise forense.Alerts: You can collect every log, event, and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Os alertas do Azure notificam proativamente sobre as condições que você define em todos os seus aplicativos e infraestrutura.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. Você cria regras de alerta entre logs, eventos e métricas que usam grupos de ação para notificar conjuntos de destinatários.You create alert rules across logs, events, and metrics that use action groups to notify sets of recipients. Os grupos de ação também fornecem a capacidade de automatizar a correção usando ações externas, como WebHooks, para executar runbooks e Azure Functions de automação do Azure.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • Painéis Os painéis permitem agregar exibições de monitoramento e combinar dados entre recursos e assinaturas para dar a você uma visão empresarial da telemetria dos recursos do Azure.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. Você pode criar e configurar seus próprios modos de exibição e compartilhá-los com outras pessoas.You can create and configure your own views and share them with others. Por exemplo, você pode criar um painel que consiste em vários blocos para que os administradores de banco de dados forneçam informações em todos os serviços de banco de dados do Azure, incluindo o BD SQL do Azure, o BD do Azure para PostgreSQL e o BD do Azure para MySQL.For example, you could create a dashboard consisting of various tiles for database administrators to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • Metrics Explorer: As métricas são valores numéricos gerados pelos recursos do Azure (como% CPU ou e/s de disco) que fornecem informações sobre a operação e o desempenho de seus recursos.Metrics Explorer: Metrics are numerical values generated by Azure resources (such as % CPU or Disk I/O) that provide insight into the operation and performance of your resources. Usando Metrics Explorer, você pode definir e enviar as métricas que lhe interessam para Log Analytics para agregação e análise.Using Metrics Explorer, you can define and send the metrics that interest you to Log Analytics for aggregation and analysis.

Monitorização principalCore monitoring

  • Azure Monitor: Azure Monitor é o serviço de plataforma principal que fornece uma única fonte para monitorar os recursos do Azure.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. A interface portal do Azure do Azure Monitor fornece um ponto de desligamento centralizado para todos os recursos de monitoramento no Azure, incluindo os recursos de monitoramento profundo de Application Insights, Log Analytics, monitoramento de rede, soluções de gerenciamento e Mapas de serviço.The Azure portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Com Azure Monitor você pode visualizar, consultar, rotear, arquivar e agir sobre as métricas e os logs provenientes dos recursos do Azure em todo o seu estado de nuvem.With Azure Monitor you can visualize, query, route, archive, and act on the metrics and logs coming from Azure resources across your entire cloud estate. Além do portal, você pode recuperar dados por meio dos cmdlets do PowerShell monitor, da CLI entre plataformas ou das APIs REST do Azure Monitor.In addition to the portal you can retrieve data through the Monitor PowerShell cmdlets, cross-platform CLI, or the Azure Monitor REST APIs.

  • Assistente do Azure: O Azure Advisor monitora constantemente a telemetria em suas assinaturas e ambientes e fornece recomendações sobre as práticas recomendadas sobre como otimizar seus recursos do Azure para economizar dinheiro e melhorar o desempenho, a segurança e a disponibilidade dos recursos que compõem seus aplicativos.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security, and availability of the resources that make up your applications.

  • Integridade do serviço: A integridade do serviço do Azure identifica quaisquer problemas com os serviços do Azure que podem afetar seus aplicativos e ajuda você a planejar as janelas de manutenção agendadas.Service Health: Azure Service Health identifies any issues with Azure Services that may affect your applications as well as assists you in planning for scheduled maintenance windows.

  • Log de atividades: O log de atividades descreve todas as operações em recursos em suas assinaturas.Activity log: The activity log describes all operations on resources in your subscriptions. Ele fornece uma trilha de auditoria para determinar o ' What ', ' quem ' e ' When ' de qualquer operação de criação, atualização e exclusão em recursos.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. Os eventos do log de atividades são armazenados na plataforma e estão disponíveis para consulta por 90 dias.Activity log events are stored in the platform and are available to query for 90 days. Você pode ingerir logs de atividades em Log Analytics para períodos de retenção mais longos e consulta e análise mais profundas em vários recursos.You can ingest activity logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

Monitorização aprofundada de aplicaçõesDeep application monitoring

  • Application Insights: Application Insights permite coletar telemetria específica do aplicativo e monitorar o desempenho, a disponibilidade e o uso de aplicativos na nuvem ou no local.Application Insights: Application Insights enables you to collect application-specific telemetry and monitor the performance, availability, and usage of applications in the cloud or on-premises. Instrumentando seu aplicativo com SDKs com suporte para vários idiomas, incluindo .NET, JavaScript, JAVA, Node. js, Ruby e Python.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby, and Python. Application Insights eventos são ingeridos no mesmo armazenamento de dados Log Analytics que dá suporte à infraestrutura e ao monitoramento de segurança para permitir que você correlacione e agregue eventos ao longo do tempo por meio de uma linguagem de consulta rica.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

Monitorização aprofundada das infraestruturasDeep infrastructure monitoring

  • Log Analytics: Log Analytics desempenha uma função central no monitoramento do Azure coletando telemetria e outros dados de uma variedade de fontes e fornecendo um mecanismo de linguagem de consulta e análise que fornece informações sobre a operação de seus aplicativos e recursos.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. Você pode interagir diretamente com Log Analytics dados por meio de exibições e pesquisas de logs rápidas ou pode usar ferramentas de análise em outros serviços do Azure que armazenam seus dados em Log Analytics como Application Insights ou a central de segurança do Azure.You can either interact directly with Log Analytics data through fast log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • Monitoramento de rede: Os serviços de monitoramento de rede do Azure permitem que você tenha informações sobre o fluxo de tráfego de rede, desempenho, segurança, conectividade e afunilamentos.Network monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity, and bottlenecks. Um design de rede bem planejado deve incluir a configuração de serviços de monitoramento de rede do Azure, como o observador de rede e o monitor do ExpressRoute.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • Soluções de gerenciamento: As soluções de gerenciamento são conjuntos de lógica, informações e consultas predefinidas de Log Analytics para um aplicativo ou serviço.Management solutions: Management solutions are packaged sets of logic, insights, and predefined Log Analytics queries for an application or service. Eles contam com Log Analytics como base para armazenar e analisar dados de evento.They rely on Log Analytics as the foundation to store and analyze event data. Soluções de gerenciamento de exemplo incluem contêineres de monitoramento e análise de banco de dados SQL do Azure.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • Mapa do Serviço: Mapa do Serviço fornece uma exibição gráfica dos seus componentes de infraestrutura, seus processos e interdependências em outros computadores e processos externos.Service Map: Service Map provides a graphical view into your infrastructure components, their processes, and interdependencies on other computers and external processes. Integra eventos, dados de desempenho e soluções de gestão no Log Analytics.It integrates events, performance data, and management solutions in Log Analytics.

Dica

Antes de criar alertas individuais, crie e mantenha um conjunto de grupos de ações compartilhadas que podem ser usados em alertas do Azure.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. Isso permitirá que você mantenha centralmente o ciclo de vida de suas listas de destinatários, métodos de entrega de notificação (email, números de telefone de SMS) e WebHooks para ações externas (runbooks de automação do Azure, aplicativos de Azure Functions/lógica, ITSM).This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

Gestão de custosCost management

Uma das principais alterações que você enfrentará ao mudar da nuvem local para a nuvem pública é a mudança de despesas de capital (compra de hardware) para as despesas operacionais (pagando pelo serviço ao usá-lo).One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). Essa opção também exige um gerenciamento mais cuidadoso dos custos.This switch also requires more careful management of your costs. O benefício da nuvem é que você pode afetar de maneira fundamental e positiva o custo de um serviço usado simplesmente desligando ou redimensionando-o quando não for necessário.The benefit of the cloud is that you can fundamentally and positively affect the cost of a service you use by merely shutting down or resizing it when it's not needed. O gerenciamento deliberado dos custos na nuvem é uma prática recomendada e um que os clientes maduros fazem diariamente.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

A Microsoft fornece várias ferramentas para que você possa visualizar, acompanhar e gerenciar seus custos.Microsoft provides several tools for you to be able to visualize, track, and manage your costs. Também fornecemos um conjunto completo de APIs para permitir que você personalize e integre o gerenciamento de custos em suas próprias ferramentas e painéis.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. Essas ferramentas são agrupadas de forma flexível em recursos de portal do Azure e recursos externos.These tools are loosely grouped into Azure portal capabilities and external capabilities.

Recursos de portal do AzureAzure portal capabilities

Essas são ferramentas para fornecer informações instantâneas sobre o custo, bem como a capacidade de executar ações.These are tools to provide you instant information on cost as well as the ability to take actions.

  • Custo do recurso de assinatura: Localizado no portal, a exibição de análise de custo do Azure fornece uma visão rápida de seus custos e informações sobre gastos diários por recurso ou grupo de recursos.Subscription resource cost: Located in the portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Gerenciamento de custos do Azure: Este produto é o resultado da compra do Cloudyn pela Microsoft e permite que você gerencie e analise seus gastos do Azure, bem como o que você gasta em outros provedores de nuvem pública.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spending as well as what you spend on other public cloud providers. Há camadas gratuitas e pagas, com uma grande variedade de recursos, como visto na visão geral.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Orçamentos do Azure e grupos de ações: Saber quais são os custos e fazer algo sobre ele até recentemente ter sido mais um exercício manual.Azure budgets and action groups: Knowing what something costs and doing something about it until recently has been more of a manual exercise. Com a introdução dos orçamentos do Azure e suas APIs, agora é possível criar ações (como visto neste exemplo) quando os custos atingem um limite.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. Por exemplo, desligar um grupo de recursos de "teste" quando atinge 100% de seu orçamento ou [outro exemplo].For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • Assistente do Azure Saber quais são as coisas que os custos são apenas metade da batalha; a outra metade é saber o que fazer com essas informações.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. O assistente do Azure fornece recomendações sobre as ações a serem tomadas para economizar dinheiro, melhorar a confiabilidade ou até mesmo aumentar a segurança.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

Ferramentas de gerenciamento de custo externoExternal cost management tools

  • Power BI Azure Consumption Insights: Deseja criar suas próprias visualizações para sua organização?Power BI Azure Consumption Insights: Do you want to create your own visualizations for your organization? Nesse caso, o pacote de conteúdo do Azure Consumption Insights para Power BI é sua ferramenta de escolha.If so, then the Azure Consumption Insights content pack for Power BI is your tool of choice. Usando este pacote de conteúdo e Power BI você pode criar visualizações personalizadas para representar sua organização, fazer uma análise mais profunda dos custos e adicionar outras fontes de dados para aprimorar ainda mais.Using this content pack and Power BI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • API de consumo: As APIs de consumo fornecem acesso programático aos dados de custo e de uso, além das informações sobre orçamentos, instâncias reservadas e encargos do Marketplace.Consumption API: The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances, and marketplace charges. Essas APIs são acessíveis somente para registros empresariais e algumas assinaturas do Web Direct, mas oferecem a você a capacidade de integrar seus dados de custo em suas próprias ferramentas e data warehouses.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Você também pode acessar essas APIs por meio do CLI do Azure.You can also access these APIs via the Azure CLI.

Os clientes que são usuários de nuvem maduras e de longo prazo seguem algumas práticas altamente recomendadas:Customers who are long-term and mature cloud users follow some highly recommended practices:

  • Monitore os custos ativamente.Actively monitor costs. As organizações que são maduras os usuários do Azure monitoram constantemente os custos e tomam ações quando necessário.Organizations that are mature Azure users constantly monitor costs and take actions when needed. Algumas organizações dedicam as pessoas a fazer análises e sugerem alterações no uso, e essas pessoas têm mais do que pagar pela primeira vez que localizam um cluster HDInsight não utilizado que está sendo executado por meses.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • Use instâncias de VM reservadas.Use Reserved VM Instances. Outra filosofia importante para gerenciar os custos na nuvem é usar a ferramenta certa para o trabalho.Another key tenet for managing costs in the cloud is to use the right tool for the job. Se você tiver uma VM IaaS que deve permanecer em 24x7, usar uma instância de VM reservada economizará dinheiro significativo.If you have an IaaS VM that must stay on 24x7, then using a Reserved VM Instance will save you significant money. Encontrar o equilíbrio certo entre automatizar o desligamento de VMs e usar instâncias de VM reservadas usa a experiência e a análise.Finding the right balance between automating the shutdown of VMs and using Reserved VM Instances takes experience and analysis.
  • Use a automação com eficiência.Use automation effectively. Muitas cargas de trabalho não precisam ser executadas todos os dias.Many workloads don't need to run every day. A desativação de uma VM por um período de quatro horas todos os dias pode poupar 15% do seu custo.Turning off a VM for a four-hour period every day can save you 15% of your cost. A automação pagará por si própria rapidamente.Automation will pay for itself quickly.
  • Use marcas de recurso para obter visibilidade.Use resource tags for visibility. Como mencionado em outro lugar neste documento, o uso de marcas de recurso permitirá uma melhor análise dos custos.As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

O gerenciamento de custos é uma disciplina que é fundamental para a execução eficaz e eficiente de uma nuvem pública.Cost management is a discipline that is core to the effective and efficient running of a public cloud. As empresas que obtêm êxito podem controlar seus custos e corresponderem à demanda real, em vez de comprar e esperar que a demanda venha.Enterprises that achieve success can control their costs and match them to their actual demand, rather than overbuying and hoping demand comes.

AutomatizarAutomate

Um dos muitos recursos que diferencia a maturidade das organizações que usam provedores de nuvem é o nível de automação que eles incorporaram.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. A automação é um processo que nunca termina e, à medida que sua organização se move para a nuvem, é qualquer área de que você precise investir em recursos e tempo na criação.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. A automação atende a vários propósitos, incluindo a distribuição consistente de recursos (em que ele se vincula diretamente a outro conceito de Scaffold principal, modelos e DevOps) à correção de problemas.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, templates and DevOps) to the remediation of issues. A automação é a "tecido de conexão" do Scaffold do Azure e vincula cada área ao mesmo tempo.Automation is the "connective tissue" of the Azure scaffold and links each area together.

Várias ferramentas podem ajudá-lo a criar esse recurso, desde ferramentas de terceiros, como a automação do Azure, a grade de eventos e a CLI do Azure, até um número abrangente de ferramentas de terceiros, como Terraform, Jenkins, chefe e Puppet.Several tools can help you build out this capability, from first-party tools such as Azure Automation, Event Grid, and the Azure CLI, to an extensive number of third-party tools such as Terraform, Jenkins, Chef, and Puppet. As principais ferramentas de automação incluem a automação do Azure, a grade de eventos e a Azure Cloud Shell.Core automation tools include Azure Automation, Event Grid, and the Azure Cloud Shell.

  • Automação do Azure O é um recurso baseado em nuvem que permite que você crie runbooks (tanto no PowerShell quanto no Python) e permite automatizar processos, configurar recursos e até mesmo aplicar patches.Azure Automation Is a cloud-based capability that allows you to author runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. A automação do Azure tem um amplo conjunto de recursos de plataforma cruzada que são integrantes à sua implantação, mas são muito abrangentes para serem abordados em detalhes aqui.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • A grade de eventos é um sistema de roteamento de eventos totalmente gerenciado que permite reagir a eventos no ambiente do Azure.Event Grid is a fully managed event routing system that allows you to react to events within your Azure environment. Assim como a automação do Azure é a tecido de conexão das organizações de nuvem maduras, a grade de eventos é a tecido de conexão de boa automação.Just as Azure Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Usando a grade de eventos, você pode criar uma ação simples sem servidor para enviar um email a um administrador sempre que um novo recurso é criado e registrar esse recurso em um banco de dados.Using Event Grid, you can create a simple serverless action to send an email to an administrator whenever a new resource is created and log that resource to a database. Essa mesma grade de eventos pode notificar quando um recurso é excluído e remover o item do banco de dados.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • Azure cloud Shell é um shell interativo baseado em navegador para gerenciar recursos no Azure.Azure Cloud Shell is an interactive, browser-based shell for managing resources in Azure. Ele fornece um ambiente completo para o PowerShell ou bash que é iniciado conforme necessário (e mantido para você) para que você tenha um ambiente consistente do qual executar seus scripts.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. O Azure Cloud Shell fornece acesso a ferramentas-chave adicionais – já instaladas – para automatizar seu ambiente, incluindo CLI do Azure, Terraform e uma lista crescente de ferramentas adicionais para gerenciar contêineres, bancos de dados (sqlcmd) e cada.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd), and more.

A automação é um trabalho em tempo integral e rapidamente se tornará uma das tarefas operacionais mais importantes em sua equipe de nuvem.Automation is a full-time job, and it will rapidly become one of the most important operational tasks within your cloud team. As organizações que usam a abordagem "automatizar primeiro" têm maior sucesso no uso do Azure:Organizations that take the approach of "automate first" have greater success in using Azure:

  • Gerenciando custos: Buscando ativamente oportunidades e criando automação para redimensionar recursos, escalar ou reduzir verticalmente e desativar recursos não utilizados.Managing costs: Actively seeking opportunities and creating automation to resize resources, scale up or down, and turn off unused resources.
  • Flexibilidade operacional: Com a automação (juntamente com modelos e DevOps), você tem um nível de repetição que aumenta a disponibilidade, aumenta a segurança e permite que sua equipe se concentre na solução de problemas de negócios.Operational flexibility: With automation (along with templates and DevOps), you gain a level of repeatability that increases availability, increases security, and enables your team to focus on solving business problems.

Modelos e DevOpsTemplates and DevOps

Conforme destacado na seção automatizar, seu objetivo como uma organização deve ser provisionar recursos por meio de modelos e scripts controlados por origem e minimizar a configuração interativa de seus ambientes.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. Essa abordagem de "infraestrutura como código", juntamente com um processo de DevOps disciplinado para implantação contínua, pode garantir a consistência e reduzir a descompasso entre seus ambientes.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. Quase todos os recursos do Azure são implantáveis por meio de modelos de JSON Azure Resource Manager em conjunto com o PowerShell ou a CLI de plataforma cruzada do Azure e ferramentas como Terraform de Hashicorp (que tem suporte de primeira classe e integrado ao Azure Cloud Shell).Almost every Azure resource is deployable through Azure Resource Manager JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

O artigo como as práticas recomendadas para usar modelos de Azure Resource Manager fornece uma excelente discussão sobre as práticas recomendadas e as lições aprendidas para aplicar uma abordagem de DevOps a modelos de Azure Resource Manager com o Azure DevOps ferramentas .Article such as Best practices for using Azure Resource Manager templates provide an excellent discussion of best practices and lessons learned for applying a DevOps approach to Azure Resource Manager templates with the Azure DevOps toolchain. Reserve tempo e esforço para desenvolver um conjunto principal de modelos específicos para os requisitos da sua organização e para desenvolver pipelines de entrega contínua com DevOps cadeias (como Azure DevOps, Jenkins, bambu, TeamCity e concurso), especialmente para seu ambientes de produção e de QA.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps toolchains (such as Azure DevOps, Jenkins, Bamboo, TeamCity, and Concourse), especially for your production and QA environments. Há uma grande biblioteca de modelos de início rápido do Azure no GitHub que você pode usar como ponto de partida para modelos, e você pode criar rapidamente pipelines de entrega baseados em nuvem com o Azure DevOps.There is a large library of Azure Quickstart templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

Como prática recomendada para assinaturas de produção ou grupos de recursos, sua meta deve usar a segurança RBAC para não permitir usuários interativos por padrão e usar pipelines de entrega contínua automatizados com base em entidades de serviço para provisionar todos os recursos e Entregue todo o código do aplicativo.As a best practice for production subscriptions or resource groups, your goal should be using RBAC security to disallow interactive users by default and using automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. Nenhum administrador ou desenvolvedor deve tocar no portal do Azure para configurar os recursos interativamente.No admin or developer should touch the Azure portal to interactively configure resources. Esse nível de DevOps leva um esforço em conjunto e usa todos os conceitos da Scaffold do Azure, fornecendo um ambiente consistente e mais seguro que atenderá às necessidades da sua organização em escala.This level of DevOps takes a concerted effort and uses all the concepts of the Azure scaffold, providing a consistent and more secure environment that will meet your organization's need to scale.

Dica

Ao criar e desenvolver modelos de Azure Resource Manager complexos, use modelos vinculados para organizar e refatorar relações de recursos complexos de arquivos JSON monolíticos.When designing and developing complex Azure Resource Manager templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. Isso permitirá que você gerencie recursos individualmente e torne seus modelos mais legíveis, que podem ser testados e reutilizáveis.This will enable you to manage resources individually and make your templates more readable, testable, and reusable.

O Azure é um provedor de nuvem de hiperescala.Azure is a hyperscale cloud provider. À medida que você move sua organização de servidores locais para a nuvem, contando com os mesmos conceitos que os provedores de nuvem e os aplicativos SaaS usam ajudarão sua organização a reagir às necessidades da empresa de maneira muito mais eficiente.As you move your organization from on-premises servers to the cloud, relying on the same concepts that cloud providers and SaaS applications use will help your organization react to the needs of the business much more efficiently.

Rede principalCore network

O componente final do modelo de referência do Azure Scaffold é fundamental para como sua organização acessa o Azure, de maneira segura.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. O acesso aos recursos pode ser interno (dentro da rede da empresa) ou externo (através da Internet).Access to resources can be either internal (within the corporation's network) or external (through the internet). É fácil para os usuários em sua organização colocar recursos inadvertidamente no local errado e potencialmente abri-los para acesso mal-intencionado.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. Assim como ocorre com dispositivos locais, as empresas devem adicionar controles apropriados para garantir que os usuários do Azure tomem as decisões certas.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. Para governança de assinatura, identificamos os principais recursos que fornecem controle básico do acesso.For subscription governance, we identify core resources that provide basic control of access. Os principais recursos consistem em:The core resources consist of:

  • Redes virtuais são objetos de contêiner para sub-redes.Virtual networks are container objects for subnets. Embora não seja estritamente necessário, geralmente é usado ao conectar aplicativos a recursos corporativos internos.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • As rotas definidas pelo usuário permitem que você manipule a tabela de rotas em uma sub-rede, permitindo que você envie tráfego por meio de uma solução de virtualização de rede ou para um gateway remoto em uma rede virtual emparelhada.User-defined routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • O emparelhamento de rede virtual permite que você conecte diretamente duas ou mais redes virtuais do Azure, criando designs de Hub e spoke mais complexos ou redes de serviços compartilhados.Virtual network peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub and spoke designs or shared services networks.
  • Pontos de extremidade de serviço.Service endpoints. No passado, os serviços de PaaS contavam com métodos diferentes para proteger o acesso a esses recursos de suas redes virtuais.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. Os pontos de extremidade de serviço permitem proteger o acesso aos serviços PaaS habilitados somente a partir de pontos de extremidade conectados, aumentando a segurança geral.Service endpoints allow you to secure access to enabled PaaS services from only connected endpoints, increasing overall security.
  • Os grupos de segurança são um amplo conjunto de regras que fornecem a capacidade de permitir ou negar o tráfego de entrada e saída de/para recursos do Azure.Security groups are an extensive set of rules that provide the ability to allow or deny inbound and outbound traffic to/from Azure resources. Grupos de segurança consistem em regras de segurança que podem ser aumentadas com marcas de serviço (que definem serviços comuns do Azure, como Azure Key Vault ou banco de dados SQL do Azure) e grupos de segurança de aplicativo (que definem e o aplicativo estrutura, como servidores Web ou servidores de aplicativos.Security groups consist of security rules that can be augmented with service tags (which define common Azure services such as Azure Key Vault or Azure SQL Database) and application security groups (which define and application structure, such as web servers or app servers).

Dica

Use marcas de serviço e grupos de segurança de aplicativo em seus grupos de segurança de rede não apenas para aprimorar—a legibilidade de suas regras,—o que é crucial para entender o impacto, mas também para habilitar o microsegmentação eficaz dentro de um sub-rede maior, reduzindo a proliferação e aumentando a flexibilidade.Use service tags and application security groups in your network security groups not only to enhance the readability of your rules—which is crucial to understanding impact—but also to enable effective microsegmentation within a larger subnet, reducing sprawl and increasing flexibility.

Datacenter Virtual do AzureAzure Virtual Datacenter

O Azure fornece recursos internos e recursos de terceiros de nossa ampla rede de parceiros que permitem que você tenha uma postura de segurança eficaz.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. Mais importante, a Microsoft fornece as práticas recomendadas e orientações na forma de VDC (datacenter virtual) do Azure.More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Datacenter (VDC). À medida que você passa de uma única carga de trabalho para várias cargas de trabalho que usam recursos híbridos, as diretrizes de VDC fornecerão "receitas" para permitir uma rede flexível e que aumentará à medida que suas cargas de trabalho no Azure crescem.As you move from a single workload to multiple workloads that use hybrid capabilities, the VDC guidance will provide you with "recipes" to enable a flexible, network that will grow as your workloads in Azure grow.

Passos SeguintesNext steps

A governança é crucial para o sucesso do Azure.Governance is crucial to the success of Azure. Este artigo destina-se à implementação técnica de um Scaffold empresarial, mas só aborda o processo e as relações mais amplas entre os componentes.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. O controle de política flui de cima para baixo e é determinado pelo que a empresa deseja alcançar.Policy governance flows from the top down and is determined by what the business wants to achieve. Naturalmente, a criação de um modelo de governança para o Azure inclui representantes de ti, mas, mais importante, ele deve ter uma forte representação de líderes de grupos de negócios e gerenciamento de segurança e riscos.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. No final das empresas, uma Scaffold empresarial está prestes a reduzir os riscos de negócios para facilitar a missão e os objetivos de uma organização.In the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives.

Agora que você aprendeu sobre governança de assinatura, é hora de ver essas recomendações na prática.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Consulte exemplos de implementação da governança de assinatura do Azure.See Examples of implementing Azure subscription governance.